La Cnil rend une décision fondamentale à l’encontre d’un opérateur de téléphonie mobile sur le non-respect du droit des personnes.
Elle a prononcé une sanction de 300 000 euros notamment pour manquement aux droits d’accès et d’opposition.
La Cnil avait été saisie de 19 plaintes d’abonnés rencontrant des difficultés dans l’exercice de leurs droits. En effet, l’opérateur ne permettait pas aux abonnés :
- d’accéder aux données les concernant ;
- de s’opposer à la réception de messages de prospection commerciale.
Au cours des contrôles effectués, la délégation de la Cnil s’est attachée à vérifier :
- la gestion des droits des personnes, et plus particulièrement
- le traitement des demandes d’exercice des droits des personnes ayant saisi la Commission.
Manquement aux droits des personnes concernées
D’une part, la formation restreinte considère qu’un manquement à l’obligation de respecter le droit d’accès des personnes aux données les concernant (articles 12 et 15 du RGPD) est constitué. L’opérateur n’a en effet pas donné suite aux demandes des abonnés dans les délais légaux.
D’autre part, elle considère qu’en ne prenant pas en compte leur opposition à recevoir de la prospection commerciale dans les délais prévus, l’opérateur n’a pas respecté ses obligations (articles 12 et 21 du RGPD).
Précisions sur les demandes de résiliation d’abonnement
Par ailleurs, la formation restreinte rappelle qu’il ressort de l’article 12 § 4 du RGPD que lorsque le responsable de traitement ne détient plus de données sur la personne qui exerce son droit d’accès (à la suite d’une demande de résiliation), il doit néanmoins répondre au demandeur dans un délai maximal d’un mois pour le lui indiquer.
Enfin, elle considère que l’envoi de factures sur lesquelles apparaissait la mention d’une ligne mobile résiliée, constitue un manquement à l’obligation de protéger les données dès la conception (article 25 du RGPD).
« Si l’information qu’une personne a été titulaire d’une ligne mobile résiliée peut effectivement être conservée à des fins d’exécution du contrat et à des fins comptables, ou encore pour la gestion du contentieux, il n’est en revanche pas nécessaire de continuer à traiter cette information dans le cadre de l’émission des facturations en cours, et de la faire apparaître sur ces dernières, alors que l’utilisation d’un identifiant permettant d’identifier le débiteur des différentes lignes mobiles (principales et secondaires) peut être utilisé à la place. »
L’opérateur aurait dû prévoir, dès la conception, des mesures organisationnelles et techniques pour garantir le respect de ces droits. Il n’aurait plus traité ces données dans le cadre de facturations suite à une demande de résiliation d’une ligne principale.
Virginie Bensoussan-Brulé
Marion Catier
Morgane Ammar, élève avocate
Lexing Contentieux numérique